(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, sa fie considerata legala in cazul in care este necesara in scopul asigurarii protectiei unui interes care este esential pentru viata persoanei vizate sau pentru viata unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuata numai in cazul in care prelucrarea nu se poate baza in mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atat unor motive importante de interes public, cat si intereselor vitale ale persoanei vizate, de exemplu in cazul in care prelucrarea este necesara in scopuri umanitare, inclusiv in vederea monitorizarii unei epidemii si a raspandirii acesteia sau in situatii de urgente umanitare, in special in situatii de dezastre naturale sau provocate de om. (47) Interesele legitime ale unui operator, inclusiv cele ale unui operator caruia ii pot fi divulgate datele cu caracter personal sau ale unei terte parti, pot constitui un temei juridic pentru prelucrare, cu conditia sa nu prevaleze interesele sau drepturile si libertatile fundamentale ale persoanei vizate, luand in considerare asteptarile rezonabile ale persoanelor vizate bazate pe relatia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci cand exista o relatie relevanta si adecvata intre persoana vizata si operator, cum ar fi cazul in care persoana vizata este un client al operatorului sau se afla in serviciul acestuia. In orice caz, existenta unui interes legitim ar necesita o evaluare atenta, care sa stabileasca inclusiv daca o persoana vizata poate preconiza in mod rezonabil, in momentul si in contextul colectarii datelor cu caracter personal, posibilitatea prelucrarii in acest scop. Interesele si drepturile fundamentale ale persoanei vizate ar putea prevala in special in raport cu interesul operatorului de date atunci cand datele cu caracter personal sunt prelucrate in circumstante in care persoanele vizate nu preconizeaza in mod rezonabil o prelucrare ulterioara. Intrucat legiuitorul trebuie sa furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de catre autoritatile publice, temeiul juridic respectiv nu ar trebui sa se aplice prelucrarii de catre autoritatile publice in indeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesara in scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date in cauza. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerata ca fiind desfasurata pentru un interes legitim . (48) Operatorii care fac parte dintr-un grup de intreprinderi sau institutii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal in cadrul grupului de intreprinderi in scopuri administrative interne, inclusiv in scopul prelucrarii datelor cu caracter personal ale clientilor sau angajatilor. Principiile generale ale transferului de date cu caracter personal, in cadrul unui grup de intreprinderi, catre o intreprindere situata intr-o tara terta raman neschimbate. (49) Prelucrarea datelor cu caracter personal in masura strict necesara si proportionala in scopul asigurarii securitatii retelelor si a informatiilor, si anume capacitatea unei retele sau a unui sistem de informatii de a face fata, la un anumit nivel de incredere, evenimentelor accidentale sau actiunilor ilegale sau rau intentionate care compromit disponibilitatea, autenticitatea, integritatea si confidentialitatea datelor cu caracter personal stocate sau transmise, precum si securitatea serviciilor conexe oferite de aceste retele si sisteme, sau accesibile prin intermediul acestora, de catre autoritatile publice, echipele de interventie in caz de urgenta informatica, echipele de interventie in cazul producerii unor incidente care afecteaza securitatea informatica, furnizorii de retele si servicii de comunicatii electronice, precum si de catre furnizorii de servicii si tehnologii de securitate, constituie un interes legitim al operatorului de date in cauza. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la retelele de comunicatii electronice si a difuzarii de coduri daunatoare si oprirea atacurilor de ``blocare a serviciului``, precum si prevenirea daunelor aduse calculatoarelor si sistemelor de comunicatii electronice. (50) Prelucrarea datelor cu caracter personal in alte scopuri decat scopurile pentru care datele cu caracter personal au fost initial colectate ar trebui sa fie permisa doar atunci cand prelucrarea este compatibila cu scopurile respective pentru care datele cu caracter personal au fost initial colectate. In acest caz nu este necesar un temei juridic separat de cel pe baza caruia a fost permisa colectarea datelor cu caracter personal. In cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, dreptul Uniunii sau dreptul intern poate stabili si specifica sarcinile si scopurile pentru care prelucrarea ulterioara ar trebui considerata a fi compatibila si legala. Prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice ar trebui considerata ca reprezentand operatiuni de prelucrare legale compatibile. Temeiul juridic prevazut in dreptul Uniunii sau in dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioara. Pentru a stabili daca scopul prelucrarii ulterioare este compatibil cu scopul pentru care au fost colectate initial datele cu caracter personal, operatorul, dupa ce a indeplinit toate cerintele privind legalitatea prelucrarii initiale, ar trebui sa tina seama, printre altele, de orice legatura intre respectivele scopuri si scopurile prelucrarii ulterioare preconizate, de contextul in care au fost colectate datele cu caracter personal, in special de asteptarile rezonabile ale persoanelor vizate, bazate pe relatia lor cu operatorul, in ceea ce priveste utilizarea ulterioara a datelor, de natura datelor cu caracter personal, de consecintele prelucrarii ulterioare preconizate asupra persoanelor vizate, precum si de existenta garantiilor corespunzatoare atat in cadrul operatiunilor de prelucrare initiale, cat si in cadrul operatiunilor de prelucrare ulterioare preconizate. In cazul in care persoana vizata si-a dat consimtamantul sau prelucrarea se bazeaza pe dreptul Uniunii sau pe dreptul intern, care constituie o masura necesara si proportionala intr-o societate democratica pentru a proteja, in special, obiective importante de interes public general, operatorul ar trebui sa aiba posibilitatea de a prelucra in continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. In orice caz, aplicarea principiilor stabilite de prezentul regulament si, in special, informarea persoanei vizate cu privire la aceste alte scopuri si la drepturile sale, inclusiv dreptul la opozitie, ar trebui sa fie garantate. Indicarea unor posibile infractiuni sau amenintari la adresa sigurantei publice de catre operator si transmiterea catre o autoritate competenta a datelor cu caracter personal relevante in cazuri individuale sau in mai multe cazuri legate de aceeasi infractiune sau de aceleasi amenintari la adresa sigurantei publice ar trebui considerata ca fiind in interesul legitim urmarit de operator . Cu toate acestea, o astfel de transmitere in interesul legitim al operatorului sau prelucrarea ulterioara a datelor cu caracter personal ar trebui interzisa in cazul in care prelucrarea nu este compatibila cu o obligatie legala, profesionala sau cu o alta obligatie de pastrare a confidentialitatii. (51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile in ceea ce priveste drepturile si libertatile fundamentale necesita o protectie specifica, deoarece contextul prelucrarii acestora ar putea genera riscuri considerabile la adresa drepturilor si libertatilor fundamentale. Aceste date cu caracter personal ar trebui sa includa datele cu caracter personal care dezvaluie originea rasiala sau etnica, utilizarea termenului ``origine rasiala`` in prezentul regulament neimplicand o acceptare de catre Uniune a teoriilor care urmaresc sa stabileasca existenta unor rase umane separate. Prelucrarea fotografiilor nu ar trebui sa fie considerata in mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, intrucat fotografiile intra sub incidenta definitiei datelor biometrice doar in cazurile in care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unica sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu exceptia cazului in care prelucrarea este permisa in cazuri specifice prevazute de prezentul regulament, tinand seama de faptul ca dreptul statelor membre poate prevedea dispozitii specifice cu privire la protectia datelor in scopul adaptarii aplicarii normelor din prezentul regulament in vederea respectarii unei obligatii legale sau a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul. Pe langa cerintele specifice pentru o astfel de prelucrare, ar trebui sa se aplice principiile generale si alte norme prevazute de prezentul regulament, in special in ceea ce priveste conditiile pentru prelucrarea legala. Ar trebui prevazute in mod explicit derogari de la interdictia generala de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci cand persoana vizata isi da consimtamantul explicit sau in ceea ce priveste nevoile specifice in special atunci cand prelucrarea este efectuata in cadrul unor activitati legitime de catre anumite asociatii sau fundatii al caror scop este de a permite exercitarea libertatilor fundamentale. (52) Derogarea de la interdictia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui sa fie permisa, de asemenea, in cazul in care dreptul Uniunii sau dreptul intern prevede acest lucru si ar trebui sa faca obiectul unor garantii adecvate, astfel incat sa fie protejate datele cu caracter personal si alte drepturi fundamentale, atunci cand acest lucru se justifica din motive de interes public, in special in cazul prelucrarii datelor cu caracter personal in domeniul legislatiei privind ocuparea fortei de munca, protectia sociala, inclusiv pensiile, precum si in scopuri de securitate, supraveghere si alerta in materie de sanatate, pentru prevenirea sau controlul bolilor transmisibile si a altor amenintari grave la adresa sanatatii. Aceasta derogare poate fi acordata in scopuri medicale, inclusiv sanatatea publica si gestionarea serviciilor de asistenta medicala, in special in vederea asigurarii calitatii si eficientei din punctul de vedere al costurilor ale procedurilor utilizate pentru solutionarea cererilor de prestatii si servicii in cadrul sistemului de asigurari de sanatate, sau in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisa, printr-o derogare, atunci cand este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie, indiferent daca are loc in cadrul unei proceduri in fata unei instante sau in cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53) Categoriile speciale de date cu caracter personal care necesita un nivel mai ridicat de protectie ar trebui prelucrate doar in scopuri legate de sanatate atunci cand este necesar pentru realizarea acestor scopuri in beneficiul persoanelor fizice si al societatii in general, in special in contextul gestionarii serviciilor si sistemelor de sanatate sau de asistenta sociala, inclusiv prelucrarea acestor date de catre autoritatile de management si de catre autoritatile centrale nationale din domeniul sanatatii in scopul controlului calitatii, furnizarii de informatii de gestiune si al supravegherii generale a sistemului de sanatate sau de asistenta sociala la nivel national si local, precum si in contextul asigurarii continuitatii asistentei medicale sau sociale si a asistentei medicale transfrontaliere ori in scopuri de securitate, supraveghere si alerta in materie de sanatate ori in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice in temeiul dreptului Uniunii sau al dreptului intern, care trebuie sa urmareasca un obiectiv de interes public, precum si in cazul studiilor realizate in interes public in domeniul sanatatii publice. Prin urmare, prezentul regulament ar trebui sa prevada conditii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sanatatea, in ceea ce priveste nevoile specifice, in special atunci cand prelucrarea acestor date este efectuata in anumite scopuri legate de sanatate de catre persoane care fac obiectul unei obligatii legale de a pastra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui sa prevada masuri specifice si adecvate pentru a proteja drepturile fundamentale si datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui sa aiba posibilitatea de a mentine sau de a introduce conditii suplimentare, inclusiv restrictii, in ceea ce priveste prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea. Totusi, acest lucru nu ar trebui sa impiedice libera circulatie a datelor cu caracter personal in cadrul Uniunii atunci cand aceste conditii se aplica prelucrarii transfrontaliere a unor astfel de date . (54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesara din motive de interes public in domeniile sanatatii publice, fara consimtamantul persoanei vizate. O astfel de prelucrare ar trebui conditionata de masuri adecvate si specifice destinate sa protejeze drepturile si libertatile persoanelor fizice. In acest context, conceptul de ``sanatate publica`` ar trebui interpretat astfel cum este definit in Regulamentul (CE) nr. 1338/2008 al Parlamentului European si al Consiliului (11), si anume toate elementele referitoare la sanatate si anume starea de sanatate, inclusiv morbiditatea sau handicapul, factorii determinanti care au efect asupra starii de sanatate, necesitatile in domeniul asistentei medicale, resursele alocate asistentei medicale, furnizarea asistentei medicale si asigurarea accesului universal la aceasta, precum si cheltuielile si sursele de finantare in domeniul sanatatii si cauzele mortalitatii. Aceasta prelucrare a datelor privind sanatatea din motive de interes public nu ar trebui sa duca la prelucrarea acestor date in alte scopuri de catre parti terte, cum ar fi angajatorii sau societatile de asigurari si bancile . (55) In plus, prelucrarea datelor cu caracter personal de catre autoritatile publice in vederea realizarii obiectivelor prevazute de dreptul constitutional sau de dreptul international public, ale asociatiilor religioase recunoscute oficial se efectueaza din motive de interes public. (56) In cazul in care, in cadrul activitatilor electorale, functionarea sistemului democratic necesita, intr-un stat membru, ca partidele politice sa colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisa din motive de interes public, cu conditia sa se prevada garantiile corespunzatoare. (57) Daca datele cu caracter personal prelucrate de un operator nu ii permit acestuia sa identifice o persoana fizica, operatorul de date nu ar trebui sa aiba obligatia de a obtine informatii suplimentare in vederea identificarii persoanei vizate, cu unicul scop de a respecta oricare dintre dispozitiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui sa refuze sa preia informatiile suplimentare furnizate de persoana vizata cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui sa includa identificarea digitala a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleasi acreditari utilizate de catre persoana vizata pentru a accesa serviciile online oferite de operatorul de date . (58) Principiul transparentei prevede ca orice informatii care se adreseaza publicului sau persoanei vizate sa fie concise, usor accesibile si usor de inteles si sa se utilizeze un limbaj simplu si clar, precum si vizualizare acolo unde este cazul . Aceste informatii ar putea fi furnizate in format electronic, de exemplu atunci cand sunt adresate publicului, prin intermediul unui site. Acest lucru este important in special in situatii in care datorita multitudinii actorilor si a complexitatii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizata sa stie si sa inteleaga daca datele cu caracter personal care o privesc sunt colectate, de catre cine si in ce scop, cum este cazul publicitatii online. Intrucat copiiii necesita o protectie specifica, orice informatii si orice comunicare, in cazul in care prelucrarea vizeaza un copil, ar trebui sa fie exprimate intr-un limbaj simplu si clar, astfel incat copilul sa il poata intelege cu usurinta. (59) Ar trebui sa fie prevazute modalitati de facilitare a exercitarii de catre persoana vizata a drepturilor care ii sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita si, daca este cazul, obtine, in mod gratuit, in special, acces la datele cu caracter personal, precum si rectificarea sau stergerea acestora, si exercitarea dreptului la opozitie. Operatorul ar trebui sa ofere, de asemenea, modalitati de introducere a cererilor pe cale electronica, mai ales in cazul in care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui sa aiba obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna si, in cazul in care nu intentioneaza sa se conformeze respectivele cereri, sa motiveze acest refuz. (60) Conform principiilor prelucrarii echitabile si transparente, persoana vizata este informata cu privire la existenta unei operatiuni de prelucrare si la scopurile acesteia. Operatorul ar trebui sa furnizeze persoanei vizate orice informatii suplimentare necesare pentru a asigura o prelucrare echitabila si transparenta, tinand seama de circumstantele specifice si de contextul in care sunt prelucrate datele cu caracter personal . In plus, persoana vizata ar trebui informata cu privire la crearea de profiluri, precum si la consecintele acesteia. Atunci cand datele cu caracter personal sunt colectate de la persoana vizata, aceasta ar trebui informata, de asemenea, daca are obligatia de a furniza datele cu caracter personal si care sunt consecintele in cazul unui refuz. Aceste informatii pot fi furnizate in combinatie cu pictograme standardizate pentru a oferi intr-un mod usor vizibil, inteligibil si clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute in vedere. In cazul in care pictogramele sunt prezentate in format electronic, acestea ar trebui sa poata fi citite automat. (61) Informatiile in legatura cu prelucrarea datelor cu caracter personal referitoare la persoana vizata ar trebui furnizate acesteia la momentul colectarii de la persoana vizata sau, in cazul in care datele cu caracter personal sunt obtinute din alta sursa, intr-o perioada rezonabila, in functie de circumstantele cazului. In cazul in care datele cu caracter personal pot fi divulgate in mod legitim unui alt destinatar, persoana vizata ar trebui informata atunci cand datele cu caracter personal sunt divulgate pentru prima data destinatarului. In cazul in care operatorul intentioneaza sa prelucreze datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost colectate, operatorul ar trebui sa furnizeze persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si alte informatii necesare. In cazul in care originea datelor cu caracter personal nu a putut fi comunicata persoanei vizate din cauza ca au fost utilizate surse diverse, informatiile generale ar trebui furnizate. (62) Cu toate acestea, nu este necesara impunerea obligatiei de a furniza informatii in cazul in care persoana vizata detine deja informatiile, in cazul in care inregistrarea sau divulgarea datelor cu caracter personal este prevazuta in mod expres de lege sau in cazul in care informarea persoanei vizate se dovedeste imposibila sau ar implica eforturi disproportionate. Acesta din urma ar putea fi cazul in special atunci cand prelucrarea se efectueaza in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. In aceasta privinta, ar trebui luate in considerare numarul persoanelor vizate, vechimea datelor si orice garantii adecvate adoptate. (63) O persoana vizata ar trebui sa aiba drept de acces la datele cu caracter personal colectate care o privesc si ar trebui sa isi exercite acest drept cu usurinta si la intervale de timp rezonabile, pentru a fi informata cu privire la prelucrare si pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sanatatea, de exemplu datele din registrele lor medicale continand informatii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor curanti si orice tratament sau interventie efectuata. Orice persoana vizata ar trebui, prin urmare, sa aiba dreptul de a cunoaste si de a i se comunica in special scopurile in care sunt prelucrate datele, daca este posibil perioada pentru care se prelucreaza datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automata a datelor cu caracter personal si, cel putin in cazul in care se bazeaza pe crearea de profiluri, consecintele unei astfel de prelucrari. Daca acest lucru este posibil, operatorul de date ar trebui sa poata furniza acces de la distanta la un sistem sigur, care sa ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui sa aduca atingere drepturilor sau libertatilor altora, inclusiv secretului comercial sau proprietatii intelectuale si, in special, drepturilor de autor care asigura protectia programelor software. Cu toate acestea, consideratiile de mai sus nu ar trebui sa aiba drept rezultat refuzul de a furniza toate informatiile persoanei vizate. Atunci cand operatorul prelucreaza un volum mare de informatii privind persoana vizata, operatorul ar trebui sa poata solicita ca, inainte de a ii fi furnizate informatiile, persoana vizata sa precizeze informatiile sau activitatile de prelucrare la care se refera cererea sa.
(64) Operatorul ar trebui sa ia toate masurile rezonabile pentru a verifica identitatea unei persoane vizate care solicita acces la date, in special in contextul serviciilor online si al identificatorilor online. Un operator nu ar trebui sa retina datele cu caracter personal in scopul exclusiv de a fi in masura sa reactioneze la cereri potentiale. (65) O persoana vizata ar trebui sa aiba dreptul la rectificarea datelor cu caracter personal care o privesc si ``dreptul de a fi uitata``, in cazul in care pastrarea acestor date incalca prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenta caruia intra operatorul. In special, persoanele vizate ar trebui sa aiba dreptul ca datele lor cu caracter personal sa fie sterse si sa nu mai fie prelucrate, in cazul in care datele cu caracter personal nu mai sunt necesare pentru scopurile in care sunt colectate sau sunt prelucrate, in cazul in care persoanele vizate si-au retras consimtamantul pentru prelucrare sau in cazul in care acestea se opun prelucrarii datelor cu caracter personal care le privesc sau in cazul in care prelucrarea datelor cu caracter personal ale acestora nu este conforma cu prezentul regulament. Acest drept este relevant in special in cazul in care persoana vizata si-a dat consimtamantul cand era copil si nu cunostea pe deplin riscurile pe care le implica prelucrarea, iar ulterior doreste sa elimine astfel de date cu caracter personal, in special de pe internet. Persoana vizata ar trebui sa aiba posibilitatea de a-si exercita acest drept in pofida faptului ca nu mai este copil. Cu toate acestea, pastrarea in continuare a datelor cu caracter personal ar trebui sa fie legala in cazul in care este necesara pentru exercitarea dreptului la libertatea de exprimare si de informare, pentru respectarea unei obligatii legale, pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, din motive de interes public in domeniul sanatatii publice, in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice sau pentru constatarea, exercitarea sau apararea unui drept in instanta. (66) Pentru a se consolida ``dreptul de a fi uitat`` in mediul online, dreptul de stergere ar trebui sa fie extins astfel incat un operator care a facut publice date cu caracter personal ar trebui sa aiba obligatia de a informa operatorii care prelucreaza respectivele date cu caracter personal sa stearga orice linkuri catre datele respective sau copii sau reproduceri ale acestora. In acest scop, operatorul in cauza ar trebui sa ia masuri rezonabile, tinand seama de tehnologia disponibila si de mijloacele aflate la dispozitia lui, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal in ceea ce priveste cererea persoanei vizate. (67) Metodele de restrictionare a prelucrarii de date cu caracter personal ar putea include, printre altele, mutarea temporara a datelor cu caracter personal selectate intr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau inlaturarea temporara a datelor publicate de pe un site. In ceea ce priveste sistemele automatizate de evidenta a datelor, restrictionarea prelucrarii ar trebui, in principiu, asigurata prin mijloace tehnice in asa fel incat datele cu caracter personal sa nu faca obiectul unor operatiuni de prelucrare ulterioara si sa nu mai poata fi schimbate. Faptul ca prelucrarea datelor cu caracter personal este restrictionata ar trebui indicat in mod clar in sistem . (68) Pentru a spori suplimentar controlul asupra propriilor date, persoana vizata ar trebui, in cazul in care datele cu caracter personal sunt prelucrate prin mijloace automate, sa poata primi datele cu caracter personal care o privesc si pe care le-a furnizat unui operator, intr-un format structurat, utilizat in mod curent, prelucrabil automat si interoperabil si sa le poata transmite unui alt operator . Operatorii de date ar trebui sa fie incurajati sa dezvolte formate interoperabile care sa permita portabilitatea datelor. Acest drept ar trebui sa se aplice in cazul in care persoana vizata a furnizat datele cu caracter personal pe baza propriului consimtamant sau in cazul in care prelucrarea datelor este necesara pentru executarea unui contract . Acest drept nu ar trebui sa se aplice in cazul in care prelucrarea se bazeaza pe un alt temei juridic decat consimtamantul sau contractul . Prin insasi natura sa, acest drept nu ar trebui exercitat impotriva operatorilor care prelucreaza date cu caracter personal in cadrul exercitarii functiilor lor publice. Acesta nu ar trebui sa se aplice in special in cazul in care prelucrarea de date cu caracter personal este necesara in vederea respectarii unei obligatii legale careia ii este supus operatorul sau in cazul indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea unei autoritati publice cu care este investit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui sa creeze pentru operatori obligatia de a adopta sau de a mentine sisteme de prelucrare care sa fie compatibile din punct de vedere tehnic. In cazul in care, intr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui sa aduca atingere drepturilor si libertatilor altor persoane vizate, in conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui sa aduca atingere dreptului persoanei vizate de a obtine stergerea datelor cu caracter personal si limitarilor dreptului respectiv, astfel cum sunt prevazute in prezentul regulament, si nu ar trebui, in special, sa implice stergerea acelor date cu caracter personal referitoare la persoana vizata care au fost furnizate de catre aceasta in vederea executarii unui contract, in masura in care si atat timp cat datele respective sunt necesare pentru executarea contractului. Persoana vizata ar trebui sa aiba dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul, daca acest lucru este fezabil din punct de vedere tehnic. (69) In cazurile in care datele cu caracter personal ar putea fi prelucrate in mod legal deoarece prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei parti terte, o persoana vizata ar trebui sa aiba totusi dreptul de a se opune prelucrarii oricaror date cu caracter personal care se refera la situatia sa particulara. Ar trebui sa revina operatorului sarcina de a demonstra ca interesele sale legitime si imperioase prevaleaza asupra intereselor sau a drepturilor si libertatilor fundamentale ale persoanei vizate. (70) In cazul in care datele cu caracter personal sunt prelucrate in scopuri de marketing direct, persoana vizata ar trebui sa aiba dreptul de a se opune unei astfel de prelucrari, inclusiv crearii de profiluri in masura in care aceasta are legatura cu marketingul direct, indiferent daca prelucrarea in cauza este cea initiala sau una ulterioara, in orice moment si in mod gratuit. Acest drept ar trebui adus in mod explicit in atentia persoanei vizate si prezentat in mod clar si separat de orice alte informatii. (71) Persoana vizata ar trebui sa aiba dreptul de a nu face obiectul unei decizii, care poate include o masura, care evalueaza aspecte personale referitoare la persoana vizata, care se bazeaza exclusiv pe prelucrarea automata si care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronica, fara interventie umana. O astfel de prelucrare include ``crearea de profiluri``, care consta in orice forma de prelucrare automata a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoana fizica, in special in vederea analizarii sau preconizarii anumitor aspecte privind randamentul la locul de munca al persoanei vizate, situatia economica, starea de sanatate, preferintele sau interesele personale, fiabilitatea sau comportamentul, locatia sau deplasarile, atunci cand aceasta produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrari, inclusiv crearea de profiluri, ar trebui permisa in cazul in care este autorizata in mod expres in dreptul Uniunii sau in dreptul intern care se aplica operatorului, inclusiv in scopul monitorizarii si prevenirii fraudei si a evaziunii fiscale, desfasurate in conformitate cu reglementarile, standardele si recomandarile institutiilor Uniunii sau ale organismelor nationale de supraveghere, si in scopul asigurarii securitatii si fiabilitatii unui serviciu oferit de operator sau in cazul in care este necesara pentru incheierea sau executarea unui contract intre persoana vizata si un operator sau in cazul in care persoana vizata si-a dat in mod explicit consimtamantul. In orice caz, o astfel de prelucrare ar trebui sa faca obiectul unor garantii corespunzatoare, care ar trebui sa includa o informare specifica a persoanei vizate si dreptul acesteia de a obtine interventie umana, de a-si exprima punctul de vedere, de a primi o explicatie privind decizia luata in urma unei astfel de evaluari, precum si dreptul de a contesta decizia. O astfel de masura nu ar trebui sa se refere la un copil. Pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoana vizata, avand in vedere circumstantele specifice si contextul in care sunt prelucrate datele cu caracter personal, operatorul ar trebui sa utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, sa implementeze masuri tehnice si organizatorice adecvate pentru a asigura in special faptul ca factorii care duc la inexactitati ale datelor cu caracter personal sunt corectati si ca riscul de erori este redus la minimum, precum si sa securizeze datele cu caracter personal intr-un mod care sa tina seama de pericolele potentiale la adresa intereselor si drepturilor persoanei vizate si care sa previna, printre altele, efectele discriminatorii impotriva persoanelor pe motiv de rasa sau origine etnica, opinii politice, religie sau convingeri, apartenenta sindicala, caracteristici genetice, stare de sanatate sau orientare sexuala sau care sa duca la masuri care sa aiba astfel de efecte . Procesul decizional automatizat si crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai in conditii specifice. (72) Crearea de profiluri este supusa normelor prezentului regulament care reglementeaza prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrarii sau principiile de protectie a datelor. Comitetul european pentru protectia datelor instituit prin prezentul regulament (``comitetul``) ar trebui sa poata emite orientari in acest context. (73) Dreptul Uniunii sau dreptul intern poate impune restrictii in privinta unor principii specifice, in privinta dreptului de informare, a dreptului de acces la datele cu caracter personal si de rectificare sau stergere a acestora, in privinta dreptului la portabilitatea datelor, a dreptului la opozitie, a deciziilor bazate pe crearea de profiluri, precum si in privinta comunicarii unei incalcari a securitatii datelor cu caracter personal persoanei vizate si a anumitor obligatii conexe ale operatorilor, in masura in care acest lucru este necesar si proportional intr-o societate democratica pentru a se garanta siguranta publica, inclusiv protectia vietii oamenilor, in special ca raspuns la dezastre naturale sau provocate de om, prevenirea, investigarea si urmarirea penala a infractiunilor sau executarea pedepselor, inclusiv protejarea impotriva amenintarilor la adresa sigurantei publice sau impotriva incalcarii eticii in cazul profesiilor reglementate si prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, in special un interes economic sau financiar important al Uniunii sau al unui stat membru, mentinerea de registre publice din motive de interes public general, prelucrarea ulterioara a datelor cu caracter personal arhivate pentru a transmite informatii specifice legate de comportamentul politic in perioada regimurilor fostelor state totalitare, protectia persoanei vizate sau a drepturilor si libertatilor unor terti, inclusiv protectia sociala, sanatatea publica si scopurile umanitare. Aceste restrictii ar trebui sa fie conforme cu cerintele prevazute de carta si de Conventia europeana pentru apararea drepturilor omului si a libertatilor fundamentale. (74) Ar trebui sa se stabileasca responsabilitatea si raspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuata de catre acesta sau in numele sau. In special, operatorul ar trebui sa fie obligat sa implementeze masuri adecvate si eficace si sa fie in masura sa demonstreze conformitatea activitatilor de prelucrare cu prezentul regulament, inclusiv eficacitatea masurilor. Aceste masuri ar trebui sa tina seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscul pentru drepturile si libertatile persoanelor fizice. (75) Riscul pentru drepturile si libertatile persoanelor fizice, prezentand grade diferite de probabilitate de materializare si de gravitate, poate fi rezultatul unei prelucrari a datelor cu caracter personal care ar putea genera prejudicii de natura fizica, materiala sau morala, in special in cazurile in care: prelucrarea poate conduce la discriminare, furt sau frauda a identitatii, pierdere financiara, compromiterea reputatiei, pierderea confidentialitatii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizata a pseudonimizarii sau la orice alt dezavantaj semnificativ de natura economica sau sociala; persoanele vizate ar putea fi private de drepturile si libertatile lor sau impiedicate sa-si exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvaluie originea rasiala sau etnica, opiniile politice, religia sau convingerile filozofice, apartenenta sindicala; sunt prelucrate date genetice, date privind sanatatea sau date privind viata sexuala sau privind condamnarile penale si infractiunile sau masurile de securitate conexe; sunt evaluate aspecte de natura personala, in special analizarea sau previzionarea unor aspecte privind randamentul la locul de munca, situatia economica, starea de sanatate, preferintele sau interesele personale, fiabilitatea sau comportamentul, locatia sau deplasarile, in scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, in special ale unor copii; sau prelucrarea implica un volum mare de date cu caracter personal si afecteaza un numar larg de persoane vizate. (76) Probabilitatea de a se materializa si gravitatea riscului pentru drepturile si libertatile persoanei vizate ar trebui sa fie determinate in functie de natura, domeniul de aplicare, contextul si scopurile prelucrarii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluari obiective prin care se stabileste daca operatiunile de prelucrare a datelor prezinta un risc sau un risc ridicat. (77) Orientari pentru implementarea unor masuri adecvate si pentru demonstrarea conformitatii de catre operator sau persoana imputernicita de operator, mai ales in ceea ce priveste identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilitatii de a se materializa si al gravitatii, precum si identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite in special prin coduri de conduita aprobate, certificari aprobate, orientari ale comitetului sau prin indicatii furnizate de un responsabil cu protectia datelor. Comitetul poate, de asemenea, sa emita orientari cu privire la operatiunile de prelucrare care sunt considerate putin susceptibile de a genera un risc ridicat pentru drepturile si libertatile persoanelor fizice si sa indice masurile care se pot dovedi suficiente in asemenea cazuri pentru a aborda un astfel de risc . (78) Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezentul regulament. Pentru a fi in masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa respecte in special principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, in reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cat mai curand posibil, transparenta in ceea ce priveste functiile si prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranta si sa le imbunatateasca. Atunci cand elaboreaza, proiecteaza, selecteaza si utilizeaza aplicatii, servicii si produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-si indeplini rolul, producatorii acestor produse si furnizorii acestor servicii si aplicatii ar trebui sa fie incurajati sa aiba in vedere dreptul la protectia datelor la momentul elaborarii si proiectarii unor astfel de produse, servicii si aplicatii si, tinand cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii si persoanele imputernicite de operatori sunt in masura sa isi indeplineasca obligatiile referitoare la protectia datelor.Principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor ar trebui sa fie luate in considerare si in contextul licitatiilor publice. (79) Protectia drepturilor si libertatilor persoanelor vizate, precum si responsabilitatea si raspunderea operatorilor si a persoanelor imputernicite de operator, inclusiv in ceea ce priveste monitorizarea de catre autoritatile de supraveghere si masurile adoptate de acestea, necesita o atribuire clara a responsabilitatilor in temeiul prezentului regulament, inclusiv in cazul in care un operator stabileste scopurile si mijloacele prelucrarii impreuna cu alti operatori sau in cazul in care o operatiune de prelucrare este efectuata in numele unui operator .
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Prelucrarea datelor minorilor, inclusiv a codului numeric personal, in contextul functionarii sistemului e-ticheting cu carduri Sursa: Raportul pe anul 2020 al ANSPDCP
Evaluarea salariatilor prin procese automate, aplicatii si platforme electornice Sursa: avocat Gales Iulian | MCP Cabinet avocati
Revocarea consimtamantului din perspectiva Regulamentulului general privind protectia datelor nr. 679/2016 Sursa: avocat STOICA IOANA, BAROUL CONSTANTA
Raspunderea operatorului de date cu caracter personal in cazul unui incident de securitate Sursa: avocat Irina Maria Diculescu | MCP Cabinet avocati